作者:安全内参社区研究员 彭汉英
2020年4月27日,国家网信办、发改委、工信部、公安部、安全部、国家密码管理局等12个部门联合发布了《网络安全审查办法》(以下简称“《办法》”)。《办法》是对《国家安全法》第59条和《网络安全法》第35条的实施,规范了针对关键信息基础设施运营者(即Critical Information Infrastructure Operator,以下简称“CII运营者”)采购网络产品和服务的安全审查机制。
《办法》是在国家网信办2019年5月24日发布的《网络安全审查办法》(征求意见稿)的基础上出台的,目的是通过网络安全审查,及早发现并避免采购网络产品和服务给关键信息基础设施运行带来风险和危害,保障关键信息基础设施供应链安全,维护国家安全。《办法》将于2020年6月1日起正式实施。《办法》废止了2017年国家互联网信息办公室颁布的《网络产品和服务安全审查办法(试行)》。
以下对《办法》进行解读,并分析它对CII运营者和网络产品与服务供应商的影响。
一、办法概述
(一)《办法》的目的和宗旨
根据《办法》第一条:“为了确保关键信息基础设施供应链安全,维护国家安全……制定本办法。这里强调的关键词是:关键信息基础设施 、供应链安全和国家安全。这与征求意见稿中“为提高关键信息基础设施安全可控水平,维护国家安全……制定本办法”形成鲜明对比,突出了“供应链安全”的重要性。此前的征求意见稿和《网络产品和服务安全审查办法(试行)中强调“安全可控”,意指关键技术必须是中国自主知识产权的,现在《办法》不分中国技术和外国技术,只要是安全的技术,都可以使用。
(二)CII运营者
《办法》第二条规定,CII运营者采购网络产品和服务,影响或可能影响国家安全的,应当进行网络安全审查。那么谁是“CII运营者”呢?《办法》没有给出明确的答案,但是国家网信办在就《办法》答记者问中指出了涉及网络安全审查的重点行业领域,包括电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等,可以看出,这些行业和部门大多数是国家行使公共职能的部门。
不过,是否CII运营者,最终应由关键信息基础设施保护工作部门来认定。《办法》第二十条第1款规定:“本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。”当然,即使认定了,也不意味着就必须要申报网络安全审查,也还要看特定的采购行为是否影响或可能影响国家安全。
(三)网络产品和服务的供应商
网络产品和服务的供应商是否需要申报网络安全审查?答案是:不需要。但是,向CII运营者提供网络产品和服务的公司,有配合网络安全审查的义务,包括签订含有网络安全审查内容的采购文件、协议、合同,提供材料和补充材料等。
可以推论,一般销售网络产品和服务的公司本身不是CII运营者,但它们的客户(特别是政府网络运营商)有可能是。作为销售方不需要申报网络安全审查,但作为合同方可能有配合审查的义务。
(四)网络产品和服务的范围
首先,从产品和服务的类别来看,并非所有的网络产品和服务都是网络安全审查的范围。根据《办法》第二十条第2款,属于审查范围的网络产品和服务是指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。
其次,即使采购对象为上述网络产品和服务,也不必然要申报网络安全审查。根据《办法》第五条,只有经CII运营者预判该产品和服务投入使用后影响或者可能影响国家安全的,或者网络安全审查办公室认为需要开展网络安全审查的(第十条),才需要申报网络安全审查。关键信息基础设施保护工作部门可以制定本行业、本领域预判指南,帮助CII运营者进行预判。
(五)审查标准
根据《办法》第九条,网络安全审查评估采购网络产品和服务是否可能带来国家安全风险,主要考虑以下因素:
(安全性)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;
(连续性)产品和服务供应中断对关键信息基础设施业务连续性的危害;
(开放性、透明性、多样性、可靠性)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
(守法性)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(保底条款)其他可能危害关键信息基础设施安全和国家安全的因素。
比较征求意见稿,《办法》删除了“产品和服务提供者受外国政府资助、控制等情况”,这和美国、欧盟等一些国家的网络安全审查制度突出强调“不得受外国政府控制”形成对比。
其它条款不一一赘述。下面我们分析《办法》对CII运营者和网络产品和服务供应商分别带来哪些具体的影响。
二、对CII运营者的影响
《办法》给CII运营者采购网络产品和服务提出了新的合规要求,加大了对相关主体网络安全的监管力度。CII运营者需要尽快建立起相应的内部合规管理制度,更新采购合同、协议条款,将网络安全审查纳入标准化的采购流程,降低网络产品和服务采购的合规风险。具体来说,CII运营者需要做好以下几方面的工作:
1.首先,CII运营者应当清楚在采购流程的哪个环节申报网络安全审查。
国家网信办在就《办法》答记者问中指出,CII运营者应当在与供应商正式签署合同前申报网络安全审查。如果在签署合同后申报网络安全审查,需要在合同中注明此合同须在产品和服务采购通过网络安全审查后方可生效,以免因为没有通过网络安全审查而造成损失。因此,CII运营者应尽早预判相关网络产品和服务投入使用后是否可能带来国家安全风险,如有风险应安排时间申报网络安全审查,应避免在采购协议签署后才开始考虑网络安全审查。
2. 其次,CII运营者与供应商签订采购合同时需注意以下方面:
(1)双方应充分认识到网络安全审查的结果可能对合同效力带来不确定性。因此,CII运营者和产品和服务供应商可以考虑签订附条件的采购合同,即采购合同仅在不适用网络安全审查时或者网络安全审查通过以后(或附加审查的条件已满足时)才生效。相应地,双方也要约定如未通过网络安全审查各方的合同责任,以避免产生纠纷。
(2)CII运营者还应在采购文件、协议中要求供应商配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备、无正当理由不中断产品供应或必要的技术支持服务等。
3. 再次,理清审查流程和时限。
CII运营者要熟悉审查流程。根据《办法》,网络安全审查的流程和每一阶段的时限如下:
(1)受理:在CII运营者提交申报后,审查办公室在10个工作日内应确定是否需要审查并书面通知运营者(见第八条)。
(2)初审:对于受理的申报,审查办公室应当自发出书面通知之日起30个工作日内完成初步审查;情况复杂的,可以延长15个工作日(见第十条)。
(3)意见反馈:网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门在收到审查办公室的初审意见后15个工作日内书面回复意见。如回复意见与初审意见一致,则审查办公室以书面形式将审查结论通知申报人,如不一致的,按照特别审查程序处理,并通知运营者。(见第十一条)
(4)特别审查:特别审查程序一般应当在45个工作日内完成,情况复杂的会延长15个工作日(见第十三条和答记者问)。
(5)补充材料:此外,网络安全审查办公室要求提供补充材料的,CII运营者和供应商提交补充材料的时间不计入审查时限(见第十四条)。
CII运营者需要根据以上流程把握好时间和节奏。
4. 最后,处罚与法律责任。
《办法》第十九条规定,CII运营者违反《办法》的,根据《网络安全法》第六十五条规定处理。《网络安全法》第六十五条规定,应当申报网络安全审查而没有申报的,或者使用网络安全审查未通过的产品和服务,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
值得注意的是,如果使用应当申报而没有申报安全审查的产品和服务,或者使用网络安全审查未通过的产品和服务以后带来关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损,产品和服务的供应中断等等,给国家安全造成严重危害后果,就不会止于以上行政责任,而有可能导致刑事责任。
三、对网络产品和服务供应商的影响
《办法》对网络产品和服务供应商的网络安全水平、守法合规程度、履约能力以及提供给CII运营者的产品和服务的安全性、开放性、透明性、连续性和可靠性提出了要求。供应商应当提高产品和服务的网络安全合规水平,才能抓住CII运营者提供的商业机会。具体来说,网络产品和服务的供应商需要留意做好以下方面的工作:
1.首先,供应商需要配合网络安全审查。
如前所述,《办法》要求网络产品和服务供应商配合网络安全审查。根据《办法》第六条,供应商向CII运营者销售网络产品和服务时,应注意采购文件、协议、拟签订的合同等需要考虑网络安全审查的要求,包括:
(1) 承诺不利用提供产品和服务的便利条件非法获取用户数据;
(2) 不得非法控制和操纵用户设备;
(3) 无正当理由不得中断产品供应或必要的技术支持服务,等等。
第十四条规定,网络安全审查办公室要求提供补充材料的,产品和服务提供者应予配合。
2. 其次,供应商必须满足《办法》的五项审查标准才可能通过网络安全审查。
《办法》第九条所列的五项审查标准要求网络产品和服务的供应商既要保证技术过硬,又要政治正确,还要守法合规,才能通过网络安全审查。供应商建立网络安全等级保护制度将有利于中标。如果供应商所提供的网络产品和服务安全性能不够好,或者连续性、开放性、透明性、来源的多样性,供应渠道的可靠性有缺陷,则会被直接否决。
值得一提的是,这里的安全标准并没有区分中资和外资。例如,2020年 3月31日,中国移动采购与招标网显示,中国移动2020年5G二期无线网主设备集中采购工作的中标候选人包括华为、中兴通讯、中国信科(大唐),也包括爱立信。在2019年1月的中国移动2019年5G规模组网建设及应用示范工程无线主设备租赁采购结果中,华为、中兴、爱立信、诺基亚和大唐均中标。中资公司如不遵守法律、法规、行政规章(例如有违法记录的),照样可能被否决,所以,中国的公司也需要守法诚信,维护公司的声誉,爱惜自己的羽毛,否则也可能无缘拿到CII运营者的订单。
3. 再次,供应商要注意保护自己的知识产权和商业秘密。
对产品和服务的供应商来说,鉴于在审查中会涉及有关产品和服务的知识产权和商业秘密,可以考虑在采购合同中与CII运营者约定建立必要的保密或防火墙机制,以避免因安全审查而导致知识产权和商业秘密泄露。
虽然《办法》第十六、十七条规定,在网络安全审查的过程中所提供的信息、材料必须保密,参与审查的机构和人员必须严格保护企业的商业秘密和知识产权,如违反保密义务,权利人可向网络安全审查办公室或者有关部门举报,但毕竟知识产权如被侵犯、商业秘密一旦泄露会给供应商带来商业损失,而要求审查部门承担法律责任则很麻烦也不是那么容易。
4. 最后,处罚与法律责任。
《办法》中没有规定对网络产品和服务供应商的处罚或法律责任。对供应商来说,如果没有故意瞒报、伪报情节,最大的处罚是被主管部门责令停止使用网络产品和服务,失去订单,以及随之而来的与CII运营者之间的合同责任。不过,如果网络产品和服务使用后带来关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损,产品和服务的供应中断,对关键信息基础设施产生危害,或违反中国的法律、法规,则另当别论,可能在其它法律框架下承担对应的民事、刑事或行政责任。
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。